防火墻的體系結構主要有以下三種：

• 雙重宿主主機體系結構：雙重宿主主機體系結構是圍繞具有雙重宿主的主機計算機而構筑的，該計算機至少有兩個網絡接口，這樣的主機可以充當與這些接口相連的網絡之間的路由器，它能夠從一個網絡往另一個網絡發送數據包。

• 屏蔽主機體系結構：屏蔽主機體系結構中，提供安全保護的主機僅僅與被保護的內部網絡相連。

• 屏蔽子網體系結構：屏蔽子網體系結構添加額外的安全層到屏蔽主機體系結構，即通過添加周邊網絡更進一步地把內部網絡與Internet隔離開。

防火墻的實現技術有以下四種：

• 騙子過濾技術：工作在網絡層，通常基于IP數據包的源地址、目的地址、源端口和目的端口進行過濾.騙子濾技術是在網絡層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯，被稱為訪問控制列表。通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號和協議狀態等因素或它們的組合，來確定是否允許該數據包通過。

• 代理服務技術：所謂代理服務器，是指代表客戶處理連接請求的程序。當代理服務器得到一個客戶的連接意圖時， 它將核實客戶請求， 并用特定的安全化的proxy應用程序來處理連接請求，將處理后的請求傳遞到真實的服務器上，然后接受服務器應答，并進行下一步處理后，將答復交給發出請求的最終客戶。代理服務器在外部網絡向內部網絡申請服務時發揮了中間轉接和隔離內、外部網絡的作用，所以又叫代理防火墻。代理防火墻工作于應用層，且針對特定的應用層協議。

• 狀態檢測技術：也稱為動態騙子濾防火墻。基于狀態檢測技術的防火墻通過一個在網關處執行網絡安全策略的檢測引擎而獲得非常好的安全特性，檢測引擎在不影響網絡正常運行的前提下，采用抽取有關數據的方法對網絡通信的各層實施檢測，并將抽取的狀態信息動態地保存起來作為以后執行安全策略的參考。狀態檢測防火墻監視和跟蹤每一個有效連接的狀態，并根據這些信息決定是否允許網絡數據包通過防火墻。

• NAT技術：網絡地址轉換， 是一個internet工程任務組的標準，允許一個整體機構以一個公用IP地址出現在互聯網上。即是一種把內部私有IP地址翻譯成合法網絡IP地址的技術。

產生原因是很多上傳文件的后端邏輯在實現時，僅僅驗證了文件后綴名和Content-Type，沒有對上傳文件的內容進行驗證。通常情況下這樣的處理邏輯僅僅是不嚴謹，不會造成太大的安全隱患。ActionScript中又提供了多種API能夠讓Flash發送網絡請求。這樣如果能夠將任意后綴的Flash文件上傳到目標域中，就能夠在攻擊者可控的域下讓受害者訪問一個精心構造的惡意頁面，來對目標域進行跨域的數據劫持。

Flash 跨域數據劫持漏洞利用條件如下：

• 目標網站的文件上傳邏輯沒有驗證文件內容；

• 上傳的文件沒有做域隔離處理；

• 服務端沒有強制設置Content-Disposition響應頭；

• 訪問上傳的文件沒有session限制；

公司進行等保測評開展流程如下：

1. 系統升級

   信息系統運營使用單位按照《信息安全等級保護管理辦法》和《網絡安全等級保護定級指南》，初步確定定級對象的安全保護等級，起草《網絡安全等級保護定級報告》；三級以上系統，定級結論需要進行專家評審。

2. 系統備案

   信息系統安全保護等級為第二級以上時，備案時應當提交《網絡安全等級保護備案表》和定級報告；第三級以上系統，還需提交專家評審意見、系統拓撲和說明、安全管理制度、安全建設方案等。

3. 建設整改

   依據《網絡安全等級保護基本要求》，利用自有或第三方的安全產品和專家服務，對信息系統進行安全建設和整改，同時制定相應的安全管理制度。

4. 等級測評

   運營使用單位應當選擇合適的測評機構，依據《網絡安全等級保護測評要求》等技術標準，定期對信息系統安全等級狀況開展等級測評。

5. 監督檢查

   公安機關及其他監管部門會在整個過程中，履行相應的監管、審核和檢查等職責。

cgi漏洞掃描是一種專門針對cgi漏洞的掃描技術，cgi漏洞是Common Gateway Interface（公用網關接口）的簡稱，并不特指一種語言。CGI語言漏洞分為配置錯誤、邊界條件錯誤、訪問驗證錯誤、來源驗證錯誤、輸入驗證錯誤、策略錯誤、使用錯誤等等。

公共網關接口（Common Gateway Interface，CGI）是Web 服務器運行時外部程序的規范，按CGI 編寫的程序可以擴展服務器功能。CGI 應用程序能與瀏覽器進行交互，還可通過數據API與數據庫服務器等外部數據源進行通信，從數據庫服務器中獲取數據。格式化為HTML文檔后，發送給瀏覽器，也可以將從瀏覽器獲得的數據放到數據庫中。幾乎所有服務器都支持CGI，可用任何語言編寫CGI，包括流行的C、C ++、Java、VB 和Delphi 等。CGI分為標準CGI和間接CGI兩種。標準CGI使用命令行參數或環境變量表示服務器的詳細請求，服務器與瀏覽器通信采用標準輸入輸出方式。間接CGI又稱緩沖CGI，在CGI程序和CGI接口之間插入一個緩沖程序，緩沖程序與CGI接口間用標準輸入輸出進行通信。

入侵檢測系統與防火墻的聯動是將防火墻置于外網與內網的通道上，入侵檢測系統再防火墻之后，對通過防火墻的數據包做深度檢測。由如下功能模塊組成：

• IDS子系統：IDS子系統采用開放源代碼的Snort軟件。Snort由數據包解碼器、檢測引警和輸出插件組成。數據包解碼器主要是對各種協議棧上的數據包進行解析、預處理，以便提交給檢測引警進行規則匹配。檢測引警采用二維鏈表的形式進行檢測，其中一維稱為規則頭，另一維稱為規則選項。通常把最常用的源/目的IP地址和端口信息放在規則頭鏈表中，而把一些獨特的檢測標志放在規則選項鏈表中。輸出插件可以把數據包以解碼后的文本形式或者tpdump的二進制形式進行記錄。當Snort檢測到入侵時，則輸出信息到IDS接口組件。

• IDS接口組件：IDS接口組件主要用于統一IDS報警格式。它負責將不同的報警格式翻譯為聯動系統所能理解的統一格式，使系統具有良好的擴展性。本系統采用XML語言描述安全事件。

• 聯動控制模塊：該模塊是聯動系統的核心，由分析組件、策略日志、策略響應組件和策略響應信息庫組成。當IDS接口組件把轉換為統一格式的入侵信息傳遞到分析組件后，該組件調用策略日志的IDS可信性數據，包括IDS的誤報/漏報率等信息，根據這些信息生成IDS的可信性矩陣，判斷是否需要聯動。若需要，則提交給策略響應組件，此組件從策略響應信息庫中選擇具體響應策略并將其傳給防火墻接口組件。在此過程中，首先制定一個初步的響應策略并執行實現聯動。但是開始時的響應策略未必是最優響應，通過評估響應策略，并把響應策略的不同響應效果存儲于響應策略信息庫中，當系統遇到相同類型入侵時就可以調用具有最佳響應效果的策略并執行，使系統能夠隨著運行時間的增長而逐漸提高抗入侵能力，實現系統的自適應性。

• 防火墻接口組件：防火墻接口組件主要負貴接收策略響應組件發來的信息，生成新的防火墻規則，引起防火墻動作。其設計重點是正確修改防火墻規則集，防止防火墻規則集自身產生異常或隱患。防火墻技術的基礎是包過濾技術，其依據就是一條條的防火墻規則，將通過防火墻的數據包與防火墻規則集中的規則逐條比較，遇到匹配規則就按規則中定義的動作處理，若沒有匹配規則則按防火墻缺省策略處理。

• 防火墻子系統：防火墻子系統采用Linux環境下的Nfierplabls框架，井對其進行適當修改以適應聯動系統的需要。Linux環境下防火墻系統的實現包括兩個方面，Netfilter提供可擴展的結構化底層框架，在此框架之上實現的數據包選擇工具Iptables負責對輸入、輸出的數據包進行過濾和管理等工作

入侵檢測系統與防火墻聯動系統由入侵檢測、聯動控制和防火墻三個模塊組成。當外來數據流經防火墻過濾后，進入內網，入侵檢測系統將其捕獲，然后經過解碼、預處理，再交由檢測引擎進行檢測。檢測引擎將當前數據與已初始化的規則鏈進行匹配，當檢測到有匹配數據時，即檢測到攻擊行為，交給聯動控制模塊。聯動控制模塊判斷是否需要聯動，若需要，則啟動防火墻接口組件改變防火墻過濾規則，進行實時阻斷。

云堡壘機一般可以代理以下幾種協議：

• RTP實時傳輸協議：實時傳輸協議（RTP）為數據提供了具有實時特征的端對端傳送服務，如在組播或單播網絡服務下的交互式視頻音頻或模擬數據。應用程序通常在 UDP 上運行 RTP 以便使用其多路結點和校驗服務；這兩種協議都提供了傳輸層協議的功能。但是 RTP 可以與其它適合的底層網絡或傳輸協議一起使用。如果底層網絡提供組播方式，那么 RTP 可以使用該組播表傳輸數據到多個目的地。

• FTP文件傳輸協議：文件傳輸協議（File Transfer Protocol，FTP）是用于在網絡上進行文件傳輸的一套標準協議，它工作在 OSI 模型的第七層，TCP 模型的第四層，即應用層，使用 TCP 傳輸而不是 UDP，客戶在和服務器建立連接前要經過一個“三次握手”的過程，保證客戶與服務器之間的連接是可靠的，而且是面向連接，為數據傳輸提供可靠保證。

• SFTP協議：一種更加安全的FTP協議，作用和FTP協議相同這種傳輸方式更為安全，傳輸雙方既要進行密碼安全驗證，還要進行基于密鑰的安全驗證，有效的防止了“中間人”的威脅和攻擊。

• RDP遠程桌面協議：遠程桌面協議(RDP)是一個多通道(multi-channel)的協議，讓使用者(所在計算機稱為用戶端或’本地計算機’)連上提供微軟終端機服務的計算機(稱為服務端或’遠程計算機’)。大部分的Windows版本都有用戶端所需軟件，有些其他操作系統也有這些用戶端軟件，例如Linux,FreeBSD，MacOSX，服務端計算機方面，則聽取送到TCPport3389的數據。

• SSH安全外殼協議：SSH為Secure Shell的縮寫，由IETF的網絡小組（Network Working Group）所制定；SSH為建立在應用層基礎上的安全協議。SSH是較可靠，專為遠程登錄會話和其他網絡服務提供安全性的協議。利用SSH協議可以有效防止遠程管理過程中的信息泄露問題。SSH最初是UNIX系統上的一個程序，后來又迅速擴展到其他操作平臺。SSH在正確使用時可彌補網絡中的漏洞。SSH客戶端適用于多種平臺。幾乎所有UNIX平臺—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix，以及其他平臺，都可運行SSH。

• POP郵局協議：POP的全稱是 Post Office Protocol，即郵局協議，用于電子郵件的接收，它使用TCP的110端口。常用的是第三版，所以簡稱為POP3。

構建企業網絡安全體系需要注意以下這些方面：

• 明確網絡資源：企業網絡用戶不能確定誰會來攻擊系統，所以作為網絡管理員在制定安全策略之初應當充分了解企業的內部構架，了解要保護什么，需要什么樣的訪問，以及如何協調所有的網絡資源和訪問。

• 確定網絡訪問點：網絡管理員應當了解潛在的入侵者會從哪里進入系統。通常是通過網絡連接、撥號訪問以及配置不當的主機入侵系統。

• 限制用戶訪問的范圍：應當在網絡中構筑多道屏障，使得非法闖入系統者不能自動進入整個系統，尤其要注意網絡中關鍵敏感地區的防范。

• 明確安全設想：每個安全系統都有一定的假設。一定要認真檢查和確認安全假設，否則隱藏的問題就會成為系統潛在的安全漏洞。

• 充分考慮人的因素：在構建安全體系時，人的因素是非常重要的。即便網絡管理員制定了非常完善的安全制度，如果操作員不認真執行，也無疑會為不法入侵者大開方便之門。

• 實現深層次的安全：對系統的任何改動都可能會影響安全，因此系統管理員、程序員和用戶需要充分考慮變動將會造成的附帶影響。構建安全體系的目標之一是使系統具有良好的可伸縮性，而且不易影響系統的安全性。

0day 攻擊就是指利用 0day 漏洞實施的攻擊，0day 漏洞是指負責應用程序的程序員或供應商所未知的軟件缺陷。因為該漏洞未知，所以沒有可用的補丁程序，利用這種漏洞實施攻擊成功率相對普通漏洞高。針對這種漏洞的惡意攻擊往往都具有極大的突發性和破壞性。與 0day 漏洞對應的，還有 nday 漏洞。

通常情況下人們使用防火墻或防病毒軟件來保護系統，但軟件本身的漏洞依舊可能存在，盡管這些專業人員已經盡了最大的努力，0day 漏洞的風險依舊無法避免。以下幾方面工作也應當重點重視：

• 加強網絡入侵防御系統建設。入侵防御系統本質上是入侵檢測系統和防火墻的有機結合，對于網絡入侵防御系統（NIPS）而言，在部署中應當格外注意防范攻擊。對于內部網絡環境而言，深入對數據傳輸特征的檢查，盡早的發現攻擊行為。至于網絡邊界這方面，NIPS 工作的重點要放在對數據流的分析上，從傳輸特征和協議兩個方面展開對于傳輸請求的檢查，必要的情況下對網絡流量加以限制，便于檢測出不正常的操作以及 Doss 攻擊。

• 加強主機入侵防御系統建設。一般情況下，主機入侵防御系統（HIPS）的主要功能包括規則定制、監視和攔截。一個妥善配置的 HIPS，可以識別和記錄用戶行為，并且在無法判斷的時對用戶提出問題，然后根據用戶指令開展進一步的工作。

目前沒有哪一款瀏覽器在不安裝任何安全設備的情況下支持網頁防篡改，如果只是解決瀏覽器被網頁挾持問題可以安裝個人計算機安全軟件，一般該種軟件都帶有網頁劫持解決方案，如果是要解決網頁篡改問題則需要借助專業的網頁防篡改系統來解決，網頁防篡改系統是網頁恢復類的安全產品,通過使用事件觸發與文件驅動文件驅動保護相結合方式來保障網頁真實性。

以下是常見的網頁防篡改技術：

• 外掛輪詢技術

  外掛輪詢技術是利用一個網頁檢測程序，以輪詢方式讀出要監控的網頁，與真實網頁相比較，來判斷網頁內容的完整性，對于被篡改的網頁進行報警和恢復。

• 核心內嵌技術

  核心內嵌技術是將篡改檢測模塊內嵌在Web服務器軟件里，它在每一個網頁流出時都進行完整性檢查，對于篡改網頁進行實時訪問阻斷，并予以報警和恢復。

• 事件觸發技術

  事件觸發技術是利用操作系統的文件系統接口，在網頁文件的被修改時進行合法性檢查，對于非法操作進行報警和恢復。

• 密碼水印技術

  在HTML文件發布時加上水印，每次網頁讀取流出時，通過在WEB服務器的解析程序篡改檢測模塊進行水印檢查。

• 文件底層過濾驅動技術

  通過在web Server中安裝監測程序，只允許合法的應用新增、修改文件，一旦發現異常文件屬性變化，馬上用備份端的文件覆蓋。基于該方法，所有對web服務器上文件的訪問都需要經過防篡改軟件的安全過濾。

網絡應用服務安全分為以下四個層次：

• 網絡與應用平臺安全：主要包括網絡的可靠性與生存性與信息系統的可靠性和可用性。網絡的可靠性與生存性依靠環境安全、物理安全、節點安全、鏈路安全、拓撲安全、系統安全等方面來保障。信息系統的可靠性和可用性主要由計算機系統安全性決定。

• 應用服務提供安全：主要包括應用服務的可用性與可控性。服務可控性依靠服務接入安全以及服務防否認、服務防攻擊、國家對應用服務的管制等方面來保障。服務可用性與承載業務網絡可靠性以及維護能力等相關。

• 信息存儲與傳輸安全：主要包括信息在網絡傳輸和信息系統存儲時完整性、機密性和不可否認性。信息完整性可以依靠報文鑒別機制，信息機密性可以依靠加密機制以及密鑰分發等來保障，信息不可否認性可以依靠數字簽名等技術來保障。

• 信息內容安全：主要指通過網絡應用服務所傳遞的信息內容不涉及危害國家安全，泄露國家秘密或商業秘密，侵犯國家利益、公共利益或公民合法權益，從事違法犯罪活動。

網絡安全體系分為以下層次：

• 物理環境的安全性(物理層安全)：該層次的安全包括通信線路的安全，物理設備的安全，機房的安全等。物理層的安全主要體現在通信線路的可靠性(線路備份、網管軟件、傳輸介質)，軟硬件設備安全性(替換設備、拆卸設備、增加設備)，設備的備份，防災害能力、防干擾能力，設備的運行環境(溫度、濕度、煙塵)，不間斷電源保障，等等。

• 操作系統的安全性(系統層安全)：該層次的安全問題來自網絡內使用的操作系統的安全，如Windows NT，Windows 2000等。主要表現在三方面，一是操作系統本身的缺陷帶來的不安全因素，主要包括身份認證、訪問控制、系統漏洞等。二是對操作系統的安全配置問題。三是病毒對操作系統的威脅。

• 網絡的安全性(網絡層安全)：該層次的安全問題主要體現在網絡方面的安全性，包括網絡層身份認證，網絡資源的訪問控制，數據傳輸的保密與完整性，遠程接入的安全，域名系統的安全，路由系統的安全，入侵檢測的手段，網絡設施防病毒等。

• 應用的安全性(應用層安全)：該層次的安全問題主要由提供服務所采用的應用軟件和數據的安全性產生，包括Web服務、電子郵件系統、DNS等。此外，還包括病毒對系統的威脅。

• 管理的安全性(管理層安全)：安全管理包括安全技術和設備的管理、安全管理制度、部門與人員的組織規則等。管理的制度化極大程度地影響著整個網絡的安全，嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安全漏洞。

代碼審計的常用思路：

• 接口排查（“正向追蹤”）：先找出從外部接口接收的參數，并跟蹤其傳遞過程，觀察是否有參數校驗不嚴的變量傳入高危方法中，或者在傳遞的過程中是否有代碼邏輯漏洞（為了提高排查的全面性，代碼審計人員可以向研發人員索要接口清單）。

• 危險方法溯源（“逆向追蹤”）：檢查敏感方法的參數，并查看參數的傳遞與處理，判斷變量是否可控并且已經過嚴格的過濾。

• 功能點定向審計：根據經驗判斷該類應用通常會在哪些功能中出現漏洞，直接審計該類功能的代碼。

• 第三方組件、中間件版本比對：檢查Web應用所使用的第三方組件或中間件的版本是否受到已知漏洞的影響。

• 補丁比對：通過對補丁做比對，反推漏洞出處。

• “黑盒測試”+“白盒測試”：我認為“白盒測試少直覺，黑盒測試難入微”。雖然代碼審計的過程須以“白盒測試”為主，但是在過程中輔以“黑盒測試”將有助于快速定位到接口或做更全面的分析判斷。交互式應用安全測試技術IAST就結合了“黑盒測試”與“白盒測試”的特點。

• “代碼靜態掃描工具”+“人工研判”：對于某些漏洞，使用代碼靜態掃描工具代替人工漏洞挖掘可以顯著提高審計工作的效率。然而，代碼靜態掃描工具也存在“誤報率高”等缺陷，具體使用時往往需要進一步研判。

• 開發框架安全審計：審計Web應用所使用的開發框架是否存在自身安全性問題，或者由于用戶使用不當而引發的安全風險。

U 盤的安全防護技巧有以下這些：

• 在使用u盤拷貝文件的過程中，盡可能減少拷貝次數。

• 不要在文件拷貝完畢后立即關閉相關的程序。

• 當系統提示u盤無法拔出時不要強行將u盤拔出，這樣會導致u盤的數據丟失。

• 應該將u盤放在干燥的地方，防止u盤受潮。

• u盤在沒有使用時贏及時將u盤的蓋子蓋上，防止長時間暴露在空氣中導致表層金屬被氧化。

• 不要長時間將u盤插入電腦usb插口，更不要將電影或歌曲放在u盤里播放。

路由器常見漏洞如下：

1. 命令執行漏洞

   TP-Link SR20本地網絡遠程代碼執行漏洞、Dir-890l命令執行漏洞、騰達AC15遠程代碼執行漏洞(CVE-2018-5767)、D-Link DIR-859遠程代碼執行漏洞（CVE-2019-17621）。

2. 拒絕服務漏洞

   TP-Link WR886N V7 Inetd Task Dos、Cisco-ASA-拒絕服務漏洞（CVE-2018-0296）。

3. 未授權訪問漏洞

   騰達某型號路由器后臺登錄認證、電信光貓HG2821T-U未授權導致信息泄露、D-Link多型號路由器存在任意文件下載漏洞、某些型號的Comba和D-Link路由器存在管理員密碼泄露漏洞等。

4. 自帶后門漏洞

   思科路由器SYNful Knock后門程序、Belkin SURF路由器后門、Tenda路由器后門等。

5. 弱口令漏洞

   Web管理后臺弱口令、23端口弱口令等。

• 堡壘機需要支持多云基礎設施

  混合云的持續推廣使用加大了IT基礎設施管理的復雜程度。針對包含傳統KVM、私有云、公有云等類型的IT基礎設施，企業需要堡壘機能夠適配和納管不同的IT組件，并進行統一的安全審計；

• 堡壘機需要支持水平擴容

  龐大且快速增長的IT資產需要堡壘機在資產納管方面更具可擴展性，并且能夠應對突發性的業務需求。

• 堡壘機需要具備成熟的高可用以及容災部署架構

  高可用的分布式技術為支撐平臺正常運行提供關鍵性的技術支持。容災系統在斷電、通信失敗、硬件/軟件錯誤等災難時確保用戶數據的安全性，并快速甚至不間斷地提供應用服務。

• 堡壘機服務能夠支持海量資產的軟件訂閱服務模式

  傳統的堡壘機大都采用許可證銷售模式，對于具有超大規模資產的用戶來說，企業需要一次性地投入大額支出。一些堡壘機廠商雖然提供了軟件訂閱服務模式，卻并沒有針對企業擁有超大規模資產的實際場景提供更加靈活、經濟的服務模式。

黑盒測試也稱為外部測試。采用這種方式時，滲透測試團隊將從一個遠程網絡位置來評估目標網絡基礎設施，并沒有任何目標網絡內部拓撲等相關信息，他們完全模擬真實網絡環境中的外部攻擊者，采用流行的攻擊技術與工具，有組織有步驟地對目標組織進行逐步的滲透與入侵，揭示目標網絡中一些已知或未知的安全漏洞，并評估這些漏洞能否被利用獲取控制權或造成業務資產的損失。

漏洞的發掘方法有以下這些：

• 黑盒測試在完全不考慮程序內部結構和內部特性的情況下，檢查程序功能是否按照需求規格說明書的規定正常使用，是否能適當地接收輸入數據而產生正確的輸出信息等。

• 白盒測試按照程序內部的結構測試程序，通過測試來檢測產品內部動作是否按照設計規格說明書的規定正常進行，檢驗程序中的每條通路是否都能按預定要求正確工作。

• 灰盒測試介于白盒測試與黑盒測試之間，關注輸出對于輸入的正確性，同時也關注內部表現，通過一些表征性的現象、事件、標志來判斷內部的運行狀態。

• 動態跟蹤分析是記錄程序在不同條件下執行的全部和安全問題相關的操作（如文件操作），然后分析這些操作序列是否存在問題，這是競爭條件類漏洞發現的主要途徑之一，其他的污點傳播跟蹤也屬于這類。

• 補丁比較通過對比補丁前后文件的源碼（或反匯編碼）就能了解到漏洞的具體細節。